Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA

군대만큼 강력한 사이버 공격 방어: USAA에서 웹 서비스 보호가 중요한 이유

- 제이슨 컴프턴(By Jason Compton)

전 세계 수백만 명의 고객을 보유한 모든 금융 기관은 심각한 사이버 보안 과제에 직면해 있습니다. 미국 군인에게 서비스를 독점적으로 제공하는 USAA는 주둔 국가에서 자사 회원들의 임무 수행에 따라 직접적으로 부가되는 복잡성 문제에 시달리고 있습니다.

텍사스에 소재한 이 기업은 120만 명의 현역·퇴역 군인과 이들의 가족에게 뱅킹, 보험, 투자 서비스를 제공합니다. USAA는 세계 각지에 담당 인력을 파견하여 회원의 위치와 서비스 이용 시기에 상관없이 빠르고 안정적인 온라인 경험을 지원하고 있습니다.

서비스 이용 회원 중 대다수가 경제적인 문제를 떠안고 있기 때문에 USAA는 회원들에게 언제나 희망이 있다는 점을 알려주면서 돈 문제와 관련된 불안감을 해소시키는 데 전념을 다합니다. 이런 필요성은 조직 전반에서 절실히 느끼고 있습니다.

Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA
USAA에서 CIO와 CSO는 조직도에 동료로 표시되어 있습니다.

군인 회원들에게 가중되는 압박

가용성은 우선순위가 높기 때문에 USAA는 이를 염두에 두고 모든 보안 의사결정을 내립니다.

USAA의 최고보안책임자(CSO) 게리 맥아럼(Gary McAlum)은 이렇게 말합니다. "USAA는 디지털 조직이므로 서비스의 상시 가동, 상시 연결을 보장하는 일이 중요합니다. 우리는 1명의 회원이든 전체 회원이든, 그 범위에 상관없이 보안 문제가 발생할 때 회원 경험에 미치는 영향에 대해 이야기합니다."

맥아럼은 USAA 최초의 CSO입니다. 7년 전 이 직책을 맡기 전에는 미 공군에서 25년간 근무하며 주로 국방성의 사이버 보안을 담당했습니다.

USAA에서 맥아럼은 대규모 사이버 공격부터 소규모 사기 활동까지 모든 보안, 연속성, 컴플라이언스 위협을 방어할 책임이 있습니다. 맥아럼은 최근에 구현한 멀티팩터 인증처럼 USAA와 자사 회원들을 위한 방어 수단을 설계할 때 대부분의 회원들이 과거에 겪었던 일을 고려합니다.

USAA는 높은 비율의 회원들이 심각한 데이터 유출 사태의 희생자였음을 알고 있습니다. 미국의 인사관리처를 노린 이 공격으로 인해 연방 정부와 군사 기관에 근무하는 직원 2천만 명 이상이 영향을 받았습니다. 데이터 유출 공격은 개인 정보가 범죄자의 손에 넘어가고, 해당 정보가 기존 금융 계좌를 악용하거나 부정한 방식으로 새 계좌를 개설하는 데 사용되는 결과로 이어집니다. 맥아럼과 그의 가족은 이런 덫에 자주 걸리는 부류에 속했습니다.

맥아럼은 다음과 같이 설명합니다. "우리는 자사의 군인 회원들이 다른 사람들보다 공격에 훨씬 취약하다고 생각합니다. 이 사회에는 군인 회원들을 속이고 악용하기 위한 방법을 모색하는 범죄자들이 항상 존재해 왔습니다. 따라서 우리는 피싱 공격에 대한 인식 제고를 비롯하여 교육 및 인식 측면에 주력합니다."

대규모 공격 방어

USAA는 개별 해커를 막아내는 동시에 정교한 대규모 사이버 공격에 대비한 보안 및 가용성도 유지해야 합니다. USAA는 2012~2013년에 발생한 미국 거점의 금융 기관 대상 DDoS(Distributed Denial of Service) 사이버 공격인 오퍼레이션 아바빌(Operation Ababil)의 표적이었습니다.

USAA는 이 계획된 공격의 사전 통보를 받았습니다. Akamai에서 제공한 네트워크 인프라를 평가한 후 USAA는 이 공격으로 인해 회원 서비스가 중단되지 않을 것이라는 확신을 가졌습니다. 그 예측은 적중했습니다. Akamai 보호 시스템은 중요한 서비스를 마비시킬 수도 있었던 많은 양의 트래픽을 차단했습니다.

DDoS 공격은 USAA.com 같은 도메인 네임을 호스팅 서버로 해석하는 독립적인 도메인 네임 서버(DNS)를 표적으로 삼습니다. DNS를 마비시켜 정상 트래픽이 기업 웹사이트를 찾을 수 없게 만드는 방식입니다. Akamai의 광범위한 네트워크에 DNS를 배포하면 이런 위협을 방어하는 데 도움이 됩니다.

맥아럼은 이렇게 말합니다. "예정된 공격일 이틀 동안 우리는 어떤 피해도 입지 않았습니다. 활동 폭증이 탐지되었지만 곧 소멸되었습니다. 매우 폭넓은 진입 지점을 제공하는 Akamai의 네트워크 덕분에 DDoS 공격을 손쉽게 막아낼 수 있었습니다."

경영 문화가 보안에 미치는 영향

보안 책임자가 다른 경영진과 긴밀히 협조해야 하는 점을 감안하여 USAA는 CSO 사무실을 고위층의 수석 리더와 밀접하게 연계할 수 있도록 완전히 독립적으로 설계했습니다.

맥아럼은 이렇게 말합니다. "우리는 보안을 책임지고 관련 예산을 담당하는 단일 창구를 원했습니다. 지금은 보안부터 조사와 비즈니스 연속성까지 모든 활동을 제가 리드하는 보안 그룹에서 도맡아서 수행합니다."

USAA에서 CIO와 CSO는 조직도에 동료로 표시되어 있습니다. 맥아럼은 다음과 같이 설명합니다. "두 경영진은 의견 조율 과정을 거쳐 예전보다 쉽게 합의점을 도출합니다.

이사회 임원부터 하부 부서원으로 이어지는 우리 회사의 문화는 회원들이 언제나 서비스를 이용할 수 있도록 만반의 준비를 갖추는 것입니다."

파트너십은 확실히 효과가 있습니다. USAA는 주요 사건이나 사고 없이 매년 14억 건의 디지털 거래를 처리합니다.

반복적으로 발생하고 세간의 관심을 끄는 데이터 유출 사태와 관련하여 맥아럼은 USAA의 안정성과 독특한 CSO-CIO 파트너십이 다른 기업을 위한 모델이 되기를 바랍니다.

"우리 모두는 자사 상품 및 서비스가 이용 불가능하거나 위험해지면 회원들이 곤경에 처한다는 사실을 잘 알고 있기 때문에 CIO 팀과 긴밀한 협력 관계를 이어갈 것입니다."

제이슨 컴프턴은 엔터프라이즈 기술 분야에서 풍부한 경험을 지닌 저술가 겸 리포터로, CRM Magazine의 전 편집장이었습니다.

Related CIO Content